ASA firewall ашиглан домайн нэрээр вэб сайтыг блок хийнэ.
Санамж
ASA дээр HTTPS шүүдэггүй , HTTPS-ын пакет нь
SSL-р шифрлэгдсэн байдаг
учир ASA нь шалгаж чаддаггүй.
ASA firewall дээрх тохиргоо
ciscoasa#show running-config
: Saved
:
ASA Version 8.4(2)
!
interface GigabitEthernet0
nameif inside
security-level 100
ip address 10.1.1.1
255.255.255.0
!
interface GigabitEthernet1
nameif DMZ
security-level 90
ip address 10.77.241.142
255.255.255.192
!
interface GigabitEthernet2
nameif outside
security-level 0
ip address dhcp
!
regex domainlist1 "\.yahoo\.com"
regex domainlist2 "\.gogo\.mn"
regex domainlist3 "\.youtube\.com"
!--- yahoo.com , домайн нэрийг URL-ээс барьж авна. !--- youtube.com ба gogo.mn
regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]"
!---.exe, .com, .bat өргөтгөлүүдийг барьж авна.
regex contenttype "Content-Type"
regex applicationheader "application/.*"
!--- application header төрлийг барьж авна.
access-list inside_mpc extended permit tcp any any eq www
access-list inside_mpc extended permit tcp any any eq 8080
!--- 8080 болон 80 портийг шүүз өгнө. Бусад портыг блок хийнэ.
class-map type regex match-any DomainBlockList
match regex domainlist1
match regex domainlist2
match regex domainlist3
!--- Class map үүсгэж өгж байгаа ба үүнд блок хийх домайн кааж өгнө.
class-map type regex match-any URLBlockList
match regex urllist1
!--- Class map үүсгэж өгж байгаа ба дээрх тохирсон urlist1 блок хийнэ.
class-map type inspect http match-all BlockDomainsClass
match request header host regex class DomainBlockList
!--- DomainBlockList class-д таарсан хүсэлтйг шалгана
class-map type inspect http match-all AppHeaderClass
match response header regex contenttype regex applicationheader
!--- "applicationheader" ашиглан энгийн урсгалыг шалгана.
class-map httptraffic
match access-list inside_mpc
!--- ACL-тай таарсан class-map үүсгэж өгж байна
class-map type inspect http match-all BlockURLsClass
match request uri regex class URLBlockList
!--- "URLBlockList" class ашиглан урсгалыг шалгана
policy-map type inspect http http_inspection_policy
parameters
protocol-violation action drop-connection
class AppHeaderClass
drop-connection log
match request method connect
drop-connection log
class BlockDomainsClass
reset log
class BlockURLsClass
reset log
!--- policy-map үүсгэж өгсөн ба drop, reset, log-уудыг тодорхойлж өгсөн байна.
policy-map inside-policy
class httptraffic
inspect http http_inspection_policy
!--- policy map үүсгэж өгсөн ба "httptraffic" ашиглан шалгана..
service-policy inside-policy interface inside
!--- inside интерфейсийн урсгал дээр вэб сайтын шалгалт хийн блок хийнэ.
Дээрх жшиээ командуудын үр дүнд URL ашиглан вэб сайт блок хийх бүрэн боломжтой.
No comments:
Post a Comment